Every CISO knows the uncomfortable truth about their Security Operations Center: the people most responsible for catching threats in real time are the people with the least experience. Tier 1 analysts sit at the front line of detection, and yet they are also the most vulnerable to the cognitive and organizational pressures that quietly erode SOC performance over time.

The Paradox at the Gate: Why Tier 1 Carries the Weight but Lacks the Armor

Tier 1 is the layer that processes the highest volume of alerts, performs initial triage, and determines what gets escalated. But it is built on a foundation that is structurally fragile. Entry-level analysts, high turnover rates, and relentless alert queues create conditions where even well-designed detection rules fail to translate into timely, accurate responses.

The paradox is here: 

• Tier 1 performance defines SOC performance;
• But Tier 1 is often the least supported, least empowered, and most cognitively overloaded layer

Tier 1 analysts face a daily avalanche of alerts. Over time, this leads to:

• Alert fatigue: constant exposure to high volumes reduces sensitivity to real danger.
• Decision fatigue: repeated micro-decisions degrade judgment quality.
• Cognitive overload: too many dashboards, too little context.
• False-positive conditioning: when 90% of alerts are benign, skepticism becomes automatic.
• Burnout and turnover: institutional memory evaporates

For CISOs, these are not HR problems. It’s a business risk. When Tier 1 hesitates, misses, or delays escalation:

• Dwell time increases,
• Incident costs rise,
• Detection quality degrades,
• Executive confidence in security drops.

If Tier 1 is weak, the entire SOC becomes reactive rather than predictive.

The Core Engine Room: Monitoring and Triage as Business-Critical Workflows

Tier 1 owns two foundational SOC processes: monitoring and alert triage. Monitoring is the continuous process of ingesting signals from across the environment — endpoints, networks, cloud infrastructure, identity systems — and applying detection logic to surface events of potential concern. 

Triage is what happens next: the structured, human-driven process of evaluating those events, assigning severity, ruling out false positives, and determining whether escalation is warranted.

Basically, these are routine tasks. Watch telemetry. Sort alerts into true positive/false positive/needs escalation. But these also are revenue protection mechanisms since they determine MTTR, MTTD, and resource allocation efficiency. When these workflows are inefficient:

• Tier 2 and Tier 3 drown in noise,
• Incident response begins late,
• Business disruption expands,
• Operational costs increase,
• Regulatory exposure grows.

Intelligence as Oxygen: The Foundation of Tier 1 Effectiveness

Tier 1 cannot operate effectively in a vacuum, and raw alerts without context are just digital shadows. Actionable threat intelligence turns data into decisions. For a Tier 1 analyst asking, “Is this connected to an active campaign targeting our sector?”, it provides: 

• IOC validation,
• Campaign context,
• TTP mapping,
• Infrastructure associations,
• Malware family attribution.

Tier 1 analysts need threat intelligence more urgently than anyone else in the SOC, precisely because they make the most time-sensitive decisions with the least contextual background.

Step 1: Detect What Others Miss. Powering Monitoring with Live Threat Intelligence Feeds

The first step toward a high-impact Tier 1 is upgrading the intelligence foundation of monitoring itself. Most SOC environments rely on detection rules built from static signatures or behavioral heuristics — logic that was accurate when written but degrades as adversaries adapt.

Actionable threat intelligence feeds continuously inject fresh, verified indicators of compromise directly into the detection infrastructure. Rather than flagging anomalies and waiting for an analyst to research them, a feed-enriched monitoring layer flags activity that has already been confirmed as malicious through real-world analysis. Detections become based on behavioral ground truth, not statistical deviation.

The operational effect on early detection is substantial. It compresses the window of exposure and dramatically reduces the cost of eventual containment.

ANY.RUN’s Threat Intelligence Feeds aggregate indicators (malicious IPs, URLs, domains) drawn from a continuously operating malware analysis sandbox that processes real-world threats in real time. This means the data reflects active threat activity observed through dynamic execution analysis, not historical reporting or third-party aggregation alone. Adversaries who modify their malware to evade static signatures cannot easily evade behavioral observation.

TI Feeds: data, benefits, integrations

Delivered in STIX and MISP formats, TI Feeds integrate directly with SIEMs, firewalls, DNS resolvers, and endpoint detection systems. Each indicator carries contextual metadata like malware families and behavioral tags, so that a detection is not just a flag but an explanation. 

For the business, intelligence-powered monitoring reduces MTTD, improves detection precision, and generates a measurable return on the broader security stack investment by ensuring that what gets detected is what actually matters.

Step 2: From Flag to Finding. Enriching Every Alert with the Context Analysts Actually Need

Before an analyst can enrich an alert, they often face a more immediate problem: a suspicious file or link has surfaced, and its nature is genuinely unknown. This is where the ANY.RUN Interactive Sandbox becomes a direct triage asset. 

Rather than relying on static reputation checks alone, analysts can submit the artifact to the sandbox and observe its actual behavior in a live execution environment — watching in real time as the file makes network connections, modifies the registry, drops additional payloads, or attempts to evade detection. Within minutes, the sandbox produces a verdict grounded in what the sample actually does, not just what it looks like. 

View sandbox analysis of a suspicious .exe file

Sandbox detonation detects ScreenConnect malware

But detection is only the beginning of a T1 analyst’s job. Once an alert surfaces, the analyst must determine whether it represents a genuine threat, understand what it means, and decide what to do with it — all under time pressure and against a queue of competing alerts. Without enrichment, this determination relies on analyst experience and manual research, both of which are in short supply at Tier 1.

The quality and speed of enrichment determine the quality and speed of triage. Deep enrichment, grounded in behavioral analysis, allows analysts to reason about the actual risk of a detection rather than guessing at it.

ANY.RUN’s Threat Intelligence Lookup delivers this depth on demand. Analysts can query any indicator — domain, IP, file hash, URL — and receive immediate context drawn from the sandbox’s analysis repository: full behavioral reports showing how the artifact executed, associated malware families and threat categories, network indicators observed during analysis, and connections to broader malicious infrastructure. A lookup is fast enough to fit into the triage workflow rather than interrupting it.

domainName:»priutt-title.com»

TI Lookup domain search with “Malicious” verdict and additional IOCs

A single lookup allows us to understand that a doubtful domain spotted in the network traffic is most probably malicious, engaged in campaigns targeting IT, finance, and educational businesses all over the world right now, and linked to more indicators that can be used for further detection tuning. 

This changes how T1 operates across several dimensions: 

• Analysts make faster, more confident decisions because they have evidence rather than inference. 
• Escalation notes improve because analysts can articulate what they found and why it matters, reducing back-and-forth with Tier 2 and accelerating the handoff.
• False positives are closed with greater certainty, improving the precision of the escalation pipeline. 

For business objectives, enriched triage supports several priorities simultaneously: 

• It accelerates MTTD and MTTR, which are key metrics for both security program effectiveness and regulatory compliance. 
• It improves the quality of incident documentation for post-incident review, insurance claims, and regulatory reporting. 
• It reduces analyst burnout by replacing frustrating ambiguity with actionable clarity. 
• Finally, it ensures that the SOC’s output reflects genuine analysis rather than overwhelmed guesswork.

Step 3: Security That Compounds. Integrating ANY.RUN into Your Existing Stack

Individual capabilities — however strong — deliver limited value when they operate in isolation. The third and most strategically significant step is integration: connecting ANY.RUN’s Threat Intelligence Feeds, Lookup, and Sandbox into the existing security infrastructure so that intelligence flows automatically across every layer of the environment.

This is where investment in T1 intelligence capabilities translates into organization-wide risk reduction. 

• SIEMs that ingest TI Feeds generate higher-precision alerts, because the detection layer is operating from verified behavioral indicators rather than generic rules. 
• Firewalls and DNS resolvers that consume the same feeds block malicious infrastructure at the perimeter, reducing the volume of threats that reach endpoints and analysts in the first place. 
• EDR systems enriched with sandbox-derived behavioral signatures detect malware that evades signature-based approaches. 
• The entire stack becomes more coherent because it shares a common intelligence foundation.

ANY.RUN supports this integration architecture through standard formats and APIs designed for compatibility with the security products already in deployment. STIX and MISP feed delivery integrates with leading SIEM and SOAR solutions. The TI Lookup API enables direct enrichment from within analyst workflows(ticketing systems, investigation dashboards, custom scripts) without requiring analysts to leave their primary interface. The sandbox itself can receive samples programmatically, enabling automated analysis pipelines that feed results back into detection and response systems.

ANY.RUN integration capabilities

For T1 teams, the day-to-day effect of integration is a reduction in the manual effort that currently consumes analyst time. Indicators enriched automatically before triage, feeds that update detection logic without human intervention, escalation data that populates from sandbox analysis rather than manual documentation — these changes shift analyst effort from information gathering to genuine investigation. T1 becomes faster without becoming larger.

For CISOs, the business case for integration centers on compounding returns. Each point of integration multiplies the value of the intelligence investment: a feed consumed by five security controls delivers five times the coverage of a feed consumed by one. 

This coherence also strengthens the organization’s posture in conversations with the board, insurers, and regulators. An integrated, intelligence-driven security architecture demonstrates not just that controls exist, but that they are actively informed by current threat activity, a substantively different claim than checkbox compliance.

Three Steps, One Outcome: A Tier 1 That Actually Protects the Business

The path to a high-impact Tier 1 is not hiring more analysts or writing more detection rules. It lies in addressing the structural shortcomings that make T1 fragile: monitoring that cannot reflect current threats, triage that lacks the context to be decisive, and intelligence capabilities that remain disconnected from the stack they should be informing.

ANY.RUN’s Threat Intelligence Feeds, Lookup, and Interactive Sandbox form a closed loop — from behavioral analysis to detection to investigation — that addresses each of the steps to top performance without adding operational complexity. The Sandbox generates ground truth. The Feeds operationalize it across the detection layer. The Lookup makes the same analytical depth available on demand for every analyst, regardless of experience.

CISOs who prioritize this investment are not just improving SOC metrics. They are changing the equation for every threat actor who targets their organization. A Tier 1 team that detects early, triages with confidence, and escalates accurately is one of the highest-leverage risk reduction assets a security program can build.

Investigadores de ciberseguridad han revelado detalles de una nueva suite de phishing llamada asesino estrella que representa páginas de inicio de sesión legítimas para evitar las protecciones de autenticación multifactor (MFA).

Un grupo de amenazas que se hace llamar Jinkusu lo anuncia como una plataforma de cibercrimen y otorga a los clientes acceso a un panel que les permite seleccionar una marca para hacerse pasar por ella o ingresar la URL real de una marca. También permite a los usuarios elegir palabras clave personalizadas como «iniciar sesión», «verificar», «seguridad» o «cuenta» e integra acortadores de URL como TinyURL para ocultar la URL de destino.

«Se lanza un instancia de Chrome sin cabeza – un navegador que funciona sin una ventana visible – dentro de un contenedor acoplablecarga el sitio web real de la marca y actúa como un proxy inverso entre el sitio objetivo y el legítimo», afirman los investigadores de Abnormal Callie Baron y Piotr Wojtyla. dicho.

«Los destinatarios reciben contenido de página genuino directamente a través de la infraestructura del atacante, lo que garantiza que la página de phishing nunca quede desactualizada. Y debido a que Starkiller representa el sitio real en vivo, no hay archivos de plantilla para que los proveedores de seguridad tomen huellas dactilares o incluyan en la lista de bloqueo».

Esta técnica de proxy de página de inicio de sesión evita la necesidad de que los atacantes actualicen periódicamente sus plantillas de páginas de phishing a medida que se actualizan las páginas reales que están suplantando.

Dicho de otra manera, el contenedor actúa como un proxy inverso de AitM, reenviando las entradas del usuario final ingresadas en la página en vivo falsificada al sitio legítimo y devolviendo las respuestas del sitio. En el fondo, cada pulsación de tecla, envío de formulario y token de sesión se enruta a través de una infraestructura controlada por el atacante y se captura para tomar el control de la cuenta.

«La plataforma agiliza las operaciones de phishing al centralizar la administración de la infraestructura, la implementación de páginas de phishing y el monitoreo de sesiones dentro de un único panel de control», dijo Abnormal. «Combinado con el enmascaramiento de URL, el secuestro de sesiones y la omisión de MFA, brinda a los ciberdelincuentes poco capacitados acceso a capacidades de ataque que antes estaban fuera de su alcance».

El desarrollo se produce cuando Datadog reveló que el kit 1Phish había evolucionado de un recolector de credenciales básico en septiembre de 2025 a un kit de phishing de varias etapas dirigido a los usuarios de 1Password.

La versión actualizada del kit incorpora una capa de validación y huella digital previa al phishing, soporte para capturar códigos de acceso de un solo uso (OTP) y códigos de recuperación, y lógica de huellas digitales del navegador para filtrar bots.

«Esta progresión refleja una iteración deliberada en lugar de una simple reutilización de plantillas», dijo el investigador de seguridad Martin McCloskey. dicho. «Cada versión se basa en la anterior e introduce controles diseñados para aumentar las tasas de conversión, reducir el análisis automatizado y admitir la recolección de autenticación secundaria».

Los hallazgos muestran que soluciones turcas como Starkiller y 1Phish están convirtiendo cada vez más el phishing en flujos de trabajo estilo SaaS, lo que reduce aún más la barrera de habilidades necesarias para llevar a cabo dichos ataques a escala.

También coinciden con una sofisticada campaña de phishing dirigida a empresas y profesionales norteamericanos al abusar del flujo de concesión de autorización de dispositivos OAuth 2.0 para eludir la autenticación multifactor (MFA) y comprometer las cuentas de Microsoft 365.

Para lograrlo, el atacante se registra en la aplicación Microsoft OAuth y genera un código de dispositivo único, que luego se entrega a la víctima a través de un correo electrónico de phishing dirigido.

«La víctima es dirigida al portal legítimo del dominio de Microsoft (microsoft.com/devicelogin) para ingresar un código de dispositivo proporcionado por el atacante«, investigadores Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke dicho. «Esta acción autentica a la víctima y emite un token de acceso OAuth válido a la aplicación del atacante. El robo en tiempo real de estos tokens otorga al atacante acceso persistente a las cuentas de Microsoft 365 y a los datos corporativos de la víctima».

En los últimos meses, las campañas de phishing también se han dirigido a instituciones financieras, específicamente bancos y cooperativas de crédito con sede en Estados Unidos, para obtener credenciales. Se dice que la campaña se desarrolló en dos fases distintas: una ola inicial que comenzó a finales de junio de 2025 y un conjunto más sofisticado de ataques que comenzó a mediados de noviembre de 2025.

«Los actores comenzaron a registrarse [.]co[.]com falsifican sitios web de instituciones financieras y presentan imitaciones creíbles de instituciones financieras reales», afirman los investigadores de BlueVoyant, Shira Reuveny y Joshua Green. dicho. «Estos [.]co[.]Los dominios com sirven como punto de entrada inicial en una refinada cadena de múltiples etapas».

El dominio, cuando se visita desde un enlace en el que se puede hacer clic en un correo electrónico de phishing, está diseñado para cargar una página CAPTCHA de Cloudflare fraudulenta que imita a la institución objetivo. El CAPTCHA no es funcional y crea un retraso deliberado antes de que un script codificado en Base64 redirija a los usuarios a la página de recolección de credenciales.

En un esfuerzo por evadir la detección y evitar que los escáneres automáticos marquen el contenido malicioso, accedan directamente al [.]co[.]Los dominios com desencadenan una redirección a un archivo «www» con formato incorrecto.[.]URL «www».

«El despliegue por parte del adversario de una cadena de evasión de múltiples capas más avanzada, que incorpora validación de referencia, controles de acceso basados ​​en cookies, retrasos intencionales y ofuscación de código, crea efectivamente una infraestructura más resistente que presenta barreras para las herramientas de seguridad automatizadas y el análisis manual», dijo BlueVoyant.

Microsoft advirtió el lunes sobre campañas de phishing que emplean correos electrónicos de phishing y OAuth Mecanismos de redireccionamiento de URL para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

La actividad, dijo la compañía, está dirigida a organizaciones gubernamentales y del sector público con el objetivo final de redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus tokens. Describió los ataques de phishing como una amenaza basada en la identidad que aprovecha el comportamiento estándar y por diseño de OAuth en lugar de explotar las vulnerabilidades del software o robar credenciales.

«OAuth incluye una característica legítima que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica bajo ciertas condiciones, generalmente en escenarios de error u otros flujos definidos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

«Los atacantes pueden abusar de esta funcionalidad nativa creando URL con proveedores de identidad populares, como Entra ID o Google Workspace, que utilizan parámetros manipulados o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por el atacante. Esta técnica permite la creación de URL que parecen benignas pero que en última instancia conducen a destinos maliciosos».

El punto de partida del ataque es una aplicación maliciosa creada por el actor de la amenaza en un inquilino bajo su control. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio fraudulento que aloja malware. Luego, los atacantes distribuyen un enlace de phishing OAuth que indica a los destinatarios que se autentiquen en la aplicación maliciosa utilizando un alcance intencionalmente no válido.

El resultado de esta redirección es que los usuarios descargan e infectan inadvertidamente sus propios dispositivos con malware. Las cargas útiles maliciosas se distribuyen en forma de archivos ZIP que, cuando se descomprimen, dan como resultado la ejecución de PowerShell, la carga lateral de DLL y la actividad previa al rescate o de uso del teclado, dijo Microsoft.

El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell tan pronto como se abre. La carga útil de PowerShell se utiliza para realizar un reconocimiento del host mediante la ejecución de comandos de descubrimiento. El archivo LNK extrae del archivo ZIP un instalador MSI, que luego suelta un documento señuelo para engañar a la víctima, mientras que una DLL maliciosa («crashhandler.dll») se descarga utilizando el binario legítimo «steam_monitor.exe».

La DLL procede a descifrar otro archivo llamado «crashlog.dat» y ejecuta la carga útil final en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).

Microsoft dijo que los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, temas de seguridad social, financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF.

«Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico de destino a través del parámetro de estado utilizando varias técnicas de codificación, lo que permitió que se completara automáticamente en la página de phishing», dijo Microsoft. «El parámetro de estado está destinado a generarse aleatoriamente y usarse para correlacionar los valores de solicitud y respuesta, pero en estos casos se reutilizó para llevar direcciones de correo electrónico codificadas».

Si bien se ha descubierto que algunas de las campañas aprovechan la técnica para distribuir malware, otras envían a los usuarios a páginas alojadas en marcos de phishing como EvilProxy, que actúan como un kit de adversario en el medio (AitM) para interceptar credenciales y cookies de sesión.

Desde entonces, Microsoft eliminó varias aplicaciones OAuth maliciosas que fueron identificadas como parte de la investigación. Se recomienda a las organizaciones que limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.

El auge de los MCP en la empresa

El Protocolo de contexto modelo (MCP) se está convirtiendo rápidamente en una forma práctica de impulsar a los LLM del «chat» al trabajo real. Al proporcionar acceso estructurado a aplicaciones, API y datos, MCP habilita agentes de IA impulsados ​​por avisos que pueden recuperar información, tomar medidas y automatizar los flujos de trabajo comerciales de un extremo a otro en toda la empresa. Esto ya se está manifestando en producción a través de asistentes horizontales y agentes verticales personalizados. como Microsoft Copilot, ServiceNow, Zendesk bots y Salesforce Agentforce, con agentes personalizados y verticales moviéndose rápidamente detrás de ellos. Esto se hace eco de la reciente Gartner “Guía de Mercado para Agentes Tutores” informedonde los analistas señalan que la rápida adopción empresarial de estos agentes de IA está superando significativamente la madurez de los controles de gobernanza y políticas necesarios para gestionarlos.

Creemos que la principal desconexión es que estos “colegas” de IA no parecen humanos.

• No se unen ni salen a través de RR.HH.
• No envían solicitudes de acceso.
• No retiran cuentas cuando finalizan los proyectos.

A menudo son invisibles para la IAM tradicional y así es como se convierten en materia oscura de identidad: riesgo de identidad real fuera del tejido de gobernanza. Y los sistemas agentes no sólo utilizan el acceso, sino que buscan el camino de menor resistencia. Están optimizados para terminar el trabajo con una fricción mínima: menos aprobaciones, menos indicaciones, menos bloqueadores. En términos de identidad, eso significa que gravitarán hacia cualquier cosa que ya funcione, cuentas locales en la aplicación, identidades de servicio obsoletas, tokens de larga duración, claves API, omitir rutas de autenticación y, si funciona, se reutilizará.

Equipo8 Encuesta de aldeas CISO 2025 encontró:

• Cerca de El 70% de las empresas ya utilizan agentes de IA (cualquier sistema que pueda responder y actuar) en producción..
• Otro El 23% está planeando implementaciones en 2026..
• dos tercios los están construyendo internamente.

La adopción de MCP no es una cuestión de si; es una cuestión de qué tan rápido y sabiamente. Ya está aquí y sólo se está acelerando. Para complicar aún más esto, está la realidad de los entornos híbridos. Según la investigación de Gartner, parece que las organizaciones enfrentan obstáculos importantes en la gestión de estas identidades no humanas porque los controles de la plataforma nativa y las salvaguardas de los proveedores generalmente no se extienden más allá de los límites de su propia nube o plataforma. Sin un mecanismo de supervisión independiente, las interacciones de los agentes entre nubes permanecen completamente sin control. La verdadera pregunta es si sus agentes de IA se convierten en compañeros de equipo confiables o identidad no gestionada materia oscura?

​​

Cómo el agente-IA abusa de la identidad de la materia oscura

Como agentes autónomos de IA que pueden planificar y ejecutar tareas de varios pasos con una mínima intervención humana, el agente AI es un asistente poderoso pero también un riesgo cibernético importante. Curiosamente, los principales analistas de la industria parecen esperar que la gran mayoría de las acciones de agentes no autorizados se deriven de violaciones de las políticas internas de la empresa, como un comportamiento equivocado de la IA o un intercambio excesivo de información, en lugar de ataques externos maliciosos.

El patrón de abuso típico que vemos es similar, impulsado por la automatización de agentes y la búsqueda de atajos:

• Enumere lo que existe: el agente rastrea aplicaciones e integraciones, enumera usuarios/tokens y descubre rutas de autenticación «alternativas».
• Pruebe primero lo que es fácil: cuentas locales, créditos heredados, tokens de larga duración, cualquier cosa que evite una nueva aprobación.
• Bloquee el acceso «suficientemente bueno»: incluso los privilegios bajos son suficientes para pivotar: leer archivos de configuración, extraer registros, descubrir secretos, mapear la estructura de la organización.
• Actualice silenciosamente: encuentre tokens con un alcance excesivo, derechos obsoletos o identidades inactivas pero privilegiadas y escale con el mínimo ruido.
• Operar a la velocidad de la máquina: miles de pequeñas acciones ocurren en muchos sistemas, demasiado rápidas y demasiado amplias para que los humanos las detecten temprano.

El verdadero riesgo aquí es la escala del impacto: una identidad descuidada se convierte en un atajo reutilizable en todo el patrimonio.

Los riesgos de la materia oscura

Además de abusar de la materia oscura de identidad, si no se controla, los agentes MCP (agentes de IA que utilizan el protocolo MCP para conectarse a aplicaciones, A2A, API y fuentes de datos) introducen sus propias exposiciones ocultas. Orchid descubre estas exposiciones todos los días:

• Acceso con permisos excesivos: los agentes obtienen el «modo dios» para no fallar, y luego ese privilegio se convierte en el estado operativo predeterminado.
• Uso sin seguimiento: los agentes pueden ejecutar flujos de trabajo confidenciales a través de herramientas donde los registros son parciales, inconsistentes o no están correlacionados con un patrocinador.
• Credenciales estáticas: los tokens codificados no sólo «viven para siempre», sino que se convierten en infraestructura compartida entre agentes, canalizaciones y entornos.
• Puntos ciegos regulatorios: los auditores preguntan: «¿quién aprobó el acceso, quién lo utilizó y qué datos se tocaron?». La materia oscura hace que esas respuestas sean lentas o imposibles.
• Desviación de privilegios: los agentes acumulan acceso con el tiempo porque eliminar permisos da más miedo que otorgarlos, hasta que un atacante hereda la deriva.

Creemos que abordar estos puntos ciegos se alinea con la observación de Gartner de que la gobernanza moderna de la IA requiere que la gestión de identidades y acceso converja estrechamente con la gobernanza de la información. Esto garantiza que las organizaciones puedan clasificar dinámicamente la confidencialidad de los datos y monitorear el comportamiento de los agentes en tiempo real en lugar de depender únicamente de credenciales estáticas.

Los agentes de IA no son sólo usuarios sin credenciales. ellos son materia oscura identidades: poderosas, invisibles y fuera del alcance del IAM actual. Y la parte incómoda: incluso los agentes bien intencionados explotarán la materia oscura. No entienden su organigrama ni su intención de gobierno; entienden lo que funciona. si un cuenta huérfana o un token con alcance excesivo es el camino más rápido hacia su finalización, se convierte en la opción «eficiente».

Principios para la adopción segura de MCP

Para evitar repetir los errores del pasado (con cuentas huérfanas o con demasiados privilegios, TI en la sombra, claves no administradas y actividad invisible), las organizaciones deben adaptarse y aplicar principios de identidad básicos a los agentes de IA. Gartner introdujo el concepto de sistemas «guardianes» especializados, soluciones de IA de supervisión que evalúan, monitorean y hacen cumplir continuamente los límites de los agentes que trabajan.

Recomendamos que las organizaciones sigan cinco principios básicos al implementar soluciones agentes basadas en MCP.

1. Emparejar agentes de IA con patrocinadores humanos: Cada agente debe estar vinculado a un operador humano responsable. Si el humano cambia de rol o se va, el acceso del agente debería cambiar con él. Estamos de acuerdo con Gartner en la necesidad de mapear la propiedad, asegurando que se rastree el linaje completo desde la creación hasta la implementación, tanto en la máquina como en su propietario humano.
2. Acceso dinámico y contextual: Los agentes de IA no deberían tener privilegios permanentes y permanentes. Sus derechos deben tener un límite de tiempo, estar conscientes de la sesión y limitarse al privilegio mínimo.
3. Visibilidad y Auditabilidad: Gartner ha estado pidiendo cada vez más a las organizaciones que mantengan un catálogo centralizado de agentes de IA que haga un inventario de todos los agentes oficiales, en la sombra y de terceros, junto con una gestión integral de la postura y pistas de auditoría a prueba de manipulaciones. En nuestra opinión, cada acción que realiza un agente de IA debe registrarse, correlacionarse con su patrocinador humano y estar disponible para su revisión. Esto garantiza la responsabilidad y prepara a las organizaciones para futuros controles de cumplimiento. La visibilidad no es sólo «lo registramos». Es necesario vincular las acciones con el alcance de los datos: a qué accedió el agente, qué cambió, qué exportó y si esa acción tocó conjuntos de datos regulados o confidenciales. De lo contrario, no se podrá distinguir la “automatización útil” del “movimiento silencioso de datos”.
4. Gobernanza a escala empresarial: La adopción de MCP debe extenderse a sistemas nuevos y heredados dentro de un tejido de gobernanza único y consistente, de modo que los equipos de seguridad, cumplimiento e infraestructura no trabajen en silos. Aquí también es donde Gartner enfatiza la importancia de una capa de supervisión de propiedad empresarial, que garantice controles consistentes y reduzca el riesgo de dependencia de un proveedor a medida que se expande la adopción de MCP.
5. Compromiso con una buena higiene IAM: Como ocurre con todas las identidades, los flujos de autenticación, los permisos de autorización y los controles implementados, una fuerte higiene (tanto en el servidor de aplicaciones como en el servidor MCP) es fundamental para mantener a cada usuario dentro de los límites adecuados.

El panorama más amplio

Los agentes de IA plantean un desafío único que va más allá de la mera integración. Representan un cambio en la forma en que se delega y ejecuta el trabajo dentro de las empresas. Si no se administran, seguirán la misma trayectoria que otras identidades ocultas: cuentas locales en la aplicación, identidades de servicios obsoletas, tokens de larga duración, claves API y rutas de autenticación de omisión que se han convertido en materia oscura de identidad con el tiempo. Y debido a que los agentes impulsados ​​por LLM están optimizados para lograr eficiencia, menor fricción y menos pasos, naturalmente gravitarán hacia esas identidades no gobernadas como el camino más rápido hacia el éxito. Si un administrador local huérfano o un token con un alcance excesivo «simplemente funciona», el agente lo usará y lo reutilizará.

La oportunidad es adelantarse a esta curva.

Al tratar a los agentes de IA como identidades de primera clase desde el primer día (descubribles, gobernables y auditables), las organizaciones pueden aprovechar su potencial sin crear puntos ciegos.

Las empresas que hagan esto no sólo reducirán su superficie de ataque inmediata sino que también se posicionarán para las expectativas regulatorias y operativas que seguramente seguirán.

En la práctica, la mayoría de los incidentes de Agent-AI no comenzarán con un día cero. Comenzarán con un atajo de identidad que alguien olvidó limpiar y luego se amplificarán mediante la automatización hasta que parezca una infracción sistémica.

La conclusión

Los agentes de IA están aquí. Ya están cambiando la forma en que operan las empresas.

El desafío no es si utilizarlos, sino cómo gobernarlos.

La adopción segura de MCP requiere aplicar los mismos principios que los profesionales de la identidad conocen bien (privilegio mínimo, gestión del ciclo de vida y auditabilidad) a una nueva clase de identidades no humanas que siguen este protocolo.

Si la materia oscura de la identidad es la suma de lo que no podemos ver ni controlar, entonces los agentes de IA no administrados pueden convertirse en su fuente de más rápido crecimiento. Las organizaciones que actúen ahora para sacarlos a la luz serán las que puedan avanzar rápidamente con la IA sin sacrificar la confianza, el cumplimiento o la seguridad. Es por eso Seguridad de orquídeas está construyendo una infraestructura de identidad para eliminar la materia oscura y hacer que la adopción de Agent AI sea segura para implementar a escala empresarial.

El grupo de actividad de amenazas conocido como descuidadolemming se ha atribuido a una nueva serie de ataques dirigidos a entidades gubernamentales y operadores de infraestructuras críticas en Pakistán y Bangladesh.

La actividad, según Arctic Wolf, tuvo lugar entre enero de 2025 y enero de 2026. Implica el uso de dos cadenas de ataque distintas para entregar familias de malware rastreadas como BurrowShell y un keylogger basado en Rust.

«El uso del lenguaje de programación Rust representa una evolución notable en las herramientas de SloppyLemming, ya que informes anteriores documentaron que el actor utiliza sólo lenguajes compilados tradicionales y marcos de simulación de adversarios prestados como Cobalt Strike, Havoc y el NekroWire RAT personalizado», la empresa de ciberseguridad. dicho en un informe compartido con The Hacker News.

SloppyLemming es el apodo asignado a un actor de amenazas que se sabe que apunta a entidades gubernamentales, policiales, energéticas, de telecomunicaciones y tecnológicas en Pakistán, Sri Lanka, Bangladesh y China desde al menos 2022. También se rastrea con los nombres Tigre escolta y Pescando Elefante.

Campañas anteriores montadas por el equipo de hackers han aprovechado familias de malware como Ares RAT y WarHawk, que a menudo se atribuyen a SideCopy y SideWinder, respectivamente.

El análisis de ArcticWolf de los últimos ataques ha descubierto el uso de correos electrónicos de phishing para entregar señuelos PDF y documentos Excel habilitados para macros para iniciar las cadenas de infección. Describió al actor de amenazas como operando con capacidad moderada.

Los señuelos PDF contienen URL diseñadas para llevar a las víctimas a los manifiestos de la aplicación ClickOnce, que luego implementan un ejecutable legítimo de Microsoft .NET («NGenTask.exe») y un cargador malicioso («mscorsvc.dll»). El cargador se inicia mediante la carga lateral de DLL para descifrar y ejecutar un implante de código shell x64 personalizado con nombre en código BurrowShell.

«BurrowShell es una puerta trasera con todas las funciones que proporciona al actor de amenazas manipulación del sistema de archivos, capacidades de captura de capturas de pantalla, ejecución remota de shell y capacidades de proxy SOCKS para túneles de red», dijo Arctic Wolf. «El implante disfraza su tráfico de comando y control (C2) como comunicaciones del servicio Windows Update y emplea encriptación RC4 con una clave de 32 caracteres para proteger la carga útil».

La segunda cadena de ataque emplea documentos de Excel que contienen macros maliciosas para eliminar el malware keylogger, al tiempo que incorpora funciones para realizar escaneo de puertos y enumeración de redes.

Una investigación más exhaustiva de la infraestructura del actor de amenazas ha identificado 112 dominios de Cloudflare Workers registrados durante el período de un año, lo que supone un aumento de ocho veces con respecto a los 13 dominios marcados por Cloudflare en septiembre de 2024.

Los vínculos de la campaña con SloppyLemming se basan en la explotación continua de la infraestructura de Cloudflare Workers con patrones de erratas tipográficas con temas gubernamentales, implementación del marco Havoc C2, técnicas de carga lateral de DLL y patrones de victimología.

Vale la pena señalar que algunos aspectos del oficio del actor de amenazas, incluido el uso de la ejecución habilitada para ClickOnce, se superponen con una campaña reciente de SideWinder documentada por Trellix en octubre de 2025.

«En particular, atacar a los organismos reguladores nucleares, las organizaciones de logística de defensa y la infraestructura de telecomunicaciones de Pakistán, junto con las empresas de energía e instituciones financieras de Bangladesh, se alinea con las prioridades de recopilación de inteligencia consistentes con la competencia estratégica regional en el sur de Asia», dijo Arctic Wolf.

«La implementación de cargas útiles duales (el código shell en memoria BurrowShell para operaciones de proxy C2 y SOCKS, y un registrador de teclas basado en Rust para el robo de información) sugiere que el actor de amenazas mantiene la flexibilidad para implementar herramientas apropiadas basadas en el valor objetivo y los requisitos operativos».

Google el lunes revelado que una falla de seguridad de alta gravedad que afecta a un componente de código abierto de Qualcomm utilizado en dispositivos Android ha sido explotada en la naturaleza.

La vulnerabilidad en cuestión es CVE-2026-21385 (Puntuación CVSS: 7,8), una lectura excesiva del búfer en el componente Gráficos.

«Corrupción de la memoria al agregar datos proporcionados por el usuario sin verificar el espacio disponible en el buffer», Qualcomm dicho en un aviso, describiéndolo como un desbordamiento de enteros.

El fabricante de chips dijo que se le informó sobre la falla a través del equipo de seguridad de Android de Google el 18 de diciembre de 2025. Los clientes fueron notificados sobre el defecto de seguridad el 2 de febrero de 2026.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza. Sin embargo, Google reconoció en su boletín mensual de seguridad de Android que «hay indicios de que CVE-2026-21385 puede estar bajo explotación limitada y dirigida».

La actualización de Google de marzo de 2026 contiene parches para un total de 129 vulnerabilidades, incluida una falla crítica en el componente del sistema (CVE-2026-0006) que podría conducir a la ejecución remota de código sin requerir privilegios adicionales ni interacción del usuario. Por el contrario, Google abordó una vulnerabilidad de Android en enero de 2026 y ninguna el mes pasado.

Google también ha solucionado varios errores clasificados como críticos: un error de escalada de privilegios en Framework (CVE-2026-0047), una denegación de servicio (DoS) en el sistema (CVE-2025-48631) y siete fallas de escalada de privilegios en los componentes del Kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 y CVE-2026-0031).

El boletín de seguridad de Android incluye dos niveles de parche (2026-03-01 y 2026-03-05) para brindar a los socios de Android la flexibilidad de abordar vulnerabilidades comunes en diferentes dispositivos más rápidamente.

El segundo nivel de parche incluye correcciones para los componentes del Kernel, así como los de Arm, Imagination Technologies, MediaTek, Qualcomm y Unisoc.

Google reveló el lunes una vulnerabilidad de día cero explotada activamente, advirtiendo que el defecto de alta gravedad que afecta a un componente de pantalla de código abierto de Qualcomm para dispositivos Android «puede estar bajo explotación limitada y dirigida».

La vulnerabilidad de la corrupción de la memoria CVE-2026-21385 – que el equipo de seguridad de Android de Google informó a Qualcomm el 18 de diciembre, afecta a 234 conjuntos de chips, dijo Qualcomm en un boletín de seguridad. Qualcomm dijo que notificó a los clientes sobre la vulnerabilidad el 2 de febrero.

Qualcomm se negó a decir cuándo ocurrió el primer caso conocido de explotación, cuántas víctimas se vieron afectadas directamente y qué ocurrió durante el período de 10 semanas entre el informe y la divulgación pública de la vulnerabilidad.

«Felicitamos a los investigadores del Grupo de Análisis de Amenazas de Google por utilizar prácticas de divulgación coordinadas», dijo un portavoz de Qualcomm a CyberScoop. «Las correcciones estuvieron disponibles para nuestros clientes en enero de 2026. Alentamos a los usuarios finales a aplicar actualizaciones de seguridad a medida que estén disponibles por parte de los fabricantes de dispositivos».

Un portavoz de Google dijo que Qualcomm marcó la vulnerabilidad como explotada. «No tenemos ninguna información ni acceso a los informes de explotación», añadió el portavoz.

Google solucionó 129 defectos en su actualización de seguridad mensual para dispositivos Android, lo que refleja un aumento en las divulgaciones de vulnerabilidades por parte del proveedor. La última actualización de seguridad de la compañía contiene la mayor cantidad de vulnerabilidades de Android parcheadas en un solo mes desde abril de 2018.

El programa público de divulgación e informes de vulnerabilidades de Google para Android ha sido desigual. La empresa normalmente publicaba docenas de parches de seguridad cada mes, pero esa cadencia se ha convertido en una rutina más ocasional.

En lo que va del año, Google abordó una vulnerabilidad de Android en enero y ninguna en febrero. También hubo pausas ocasionales el año pasado cuando Google no informó ninguna vulnerabilidad en julio y octubre, seis en agosto y dos vulnerabilidades en noviembre. Sin embargo, las divulgaciones para 2025 alcanzaron su punto máximo con 120 defectos en septiembre y repuntaron nuevamente en diciembre con 107 vulnerabilidades, incluidas dos de día cero.

Google respondió anteriormente a preguntas sobre caídas en la cantidad de vulnerabilidades que revela cada mes, señalando que sigue centrado en los defectos que representan el mayor peligro.

«Android detiene la mayor parte de la explotación de vulnerabilidades en la fuente con un amplio refuerzo de la plataforma, como nuestro uso del lenguaje Rust, seguro para la memoria, y protecciones antiexplotación avanzadas», dijo un portavoz de Google en diciembre. «Android y Pixel abordan continuamente las vulnerabilidades de seguridad conocidas y priorizan reparar y parchar primero las de mayor riesgo».

El boletín de seguridad de Android de marzo incluye dos niveles de parche (2026-03-01 y 2026-03-05), lo que permite a los socios de Android abordar vulnerabilidades comunes en diferentes dispositivos. Los fabricantes de dispositivos Android lanzan parches de seguridad según su propio calendario después de haber personalizado las actualizaciones del sistema operativo para su hardware específico.

La actualización de seguridad principal contiene 63 vulnerabilidades, incluidas 32 en el marco, 19 en el sistema y 12 que afectan a Google Play. Casi la mitad de esas vulnerabilidades tienen identificadores CVE a partir de 2025.

El segundo parche aborda 66 vulnerabilidades, incluidas 15 vulnerabilidades que afectan al kernel, un defecto de un componente Arm, siete fallas de Imagination Technologies y siete vulnerabilidades en los componentes de Unisoc.

El segundo nivel de parche también contiene correcciones para ocho vulnerabilidades en componentes de Qualcomm de código cerrado y siete defectos de alta gravedad en componentes de Qualcomm de código abierto, incluido CVE-2026-21385.

Google dijo que el código fuente de todas las vulnerabilidades abordadas en el boletín de seguridad de Android de este mes se publicará en el repositorio del Proyecto de Código Abierto de Android el miércoles.

El jefe cibernético del FBI está dando prioridad a la preparación para el aumento de las amenazas chinas, una mayor confrontación de adversarios en el ciberespacio y un intercambio de inteligencia más rápido con la industria mientras la oficina entra en el segundo y último mes de una campaña única de concientización sobre la ciberseguridad.

Brett Leatherman, quien asumió el cargo de subdirector de la división cibernética del FBI el verano pasado, enumeró esos temas como sus tres principales prioridades en una entrevista reciente con CyberScoop. Al menos dos de ellos se superponen considerablemente con la actual campaña de sensibilización de la oficina, Operación ESCUDO DE INVIERNO.

Es el tipo de cosas que normalmente se esperaría más que surgieran de la Agencia de Seguridad de Infraestructura y Ciberseguridad, que alguna vez tuvo su propia campaña con el tema del escudo, en lugar del FBI.

«Nunca antes habíamos hecho una campaña en los medios como esta», dijo. «Pero si bien es atípico que una agencia encargada de hacer cumplir la ley haga este tipo de campaña en los medios técnicos, pensamos que era increíblemente importante porque traduce esa perspectiva de las fuerzas del orden. [into] formas significativas en que la industria puede avanzar hacia una mayor resiliencia en la infraestructura crítica, la industria, las agencias gubernamentales y más”.

Como parte de la campaña, el FBI destaca 10 recomendaciones, como proteger los registros de seguridad e implementar una autenticación resistente al phishing, que surgen de la misión de respuesta a incidentes del FBI.

«Las 10 recomendaciones que estamos haciendo ahora no son una sorpresa para muchas personas que trabajan o tienen ciberseguridad en los últimos años, pero es importante que también resaltemos que estos 10 controles son las formas en que seguimos viendo actores ingresando a empresas Fortune 100 y pequeñas y medianas empresas en prácticamente el 99% o más de las investigaciones que llevamos a cabo», dijo Leatherman.

La campaña ha incluido eventos localizados para la industria, podcastsapariciones internacionales, mensajes coordinados con empresas centradas en el ciberespacio y más. A veces enfatizan diferentes amenazas según el lugar donde se encuentran, o casos específicos que demuestran cómo no seguir las 10 recomendaciones ha llevado a una infracción en la vida real en el pasado.

En la oficina local de Honolulu, por ejemplo, el FBI celebró una cumbre ejecutiva cibernética con propietarios y operadores de infraestructura crítica y otros socios clave. Allí, el énfasis estuvo en cómo Hawái es un objetivo potencial de los piratas informáticos chinos, especialmente con la posibilidad de una invasión de Taiwán por parte de la República Popular China en 2027.

Asegurar el año 2027 es la primera prioridad para Leatherman como subdirector de la división cibernética. La idea es “defender la patria contra un aumento de los ataques de la República Popular China hacia la patria”, en caso de que un conflicto entre China y Taiwán tenga efectos colaterales en Estados Unidos.

La segunda prioridad de Leatherman es enfrentar mejor a los adversarios estadounidenses en el ciberespacio, con operaciones conjuntas y secuenciadas: «operaciones técnicas a través de nuestras autoridades legales para quitar capacidad y competencia al adversario». Eso incluye buscar formas de mejorar esas operaciones con IA.

Y su tercera prioridad gira en torno al intercambio de información con la industria. Leatherman dijo que el FBI tiene algunas capacidades únicas de inteligencia sobre amenazas cibernéticas y quiere compartirlas más rápidamente, para que pueda tener un impacto inmediato.

Leatherman dijo que Winter Shield está destinado a servir como complemento al trabajo de CISA y viceversa. El componente internacional de la campaña todavía tiene la vista puesta en el territorio nacional, afirmó. «Estamos ayudando a los socios a comprender que Internet está muy interconectado ahora, que las empresas son internacionales y que si simplemente haces este trabajo aquí en casa, corres el riesgo de que los actores apunten a tus operaciones internacionales y se dediquen al trabajo con sede en Estados Unidos», dijo.

El enfoque de la segunda administración Trump hacia el FBI ha generado preocupaciones en el Congreso, ex agentes y otros lugares sobre si se está restringiendo el enfoque cibernético de la oficina. La oficina ha perdido liderazgo veterano, y los datos del FBI que un alto demócrata del Senado publicó apuntan a personal siendo trasladado a tareas relacionadas con la inmigración, incluidas las derivadas del trabajo cibernético. La administración también ha propuesto recortes presupuestarios para la oficina.

Y la agencia matriz del FBI, el Departamento de Justicia, ha cerrar un equipo que combate los delitos relacionados con criptomonedas en medio de una reacción de la industria hacia las acciones del gobierno de EE. UU. en casos como Tornado Cash, al que la administración Biden acusó de incitar al lavado de dinero mediante equipos de ransomware.

Leatherman dijo que el director del FBI, Kash Patel, y otros líderes de la oficina han apoyado firmemente la misión cibernética del FBI.

“No hemos movido recursos de [the] división cibernética», dijo. «Todavía tenemos nuestra unidad de activos virtuales, todavía tenemos nuestro Equipo de Respuesta de Moneda Virtual, todos esos equipos responsables de rastrear las criptomonedas robadas de» Corea del Norte.

«Estamos haciendo un rastreo regular. Estamos tratando de aprovecharlo cuando podamos», dijo. «Hemos aumentado nuestra capacidad para atacar a los actores de los estados-nación gracias al apoyo del liderazgo del FBI, por lo que no hemos retirado recursos de la amenaza y continuamos priorizando tanto la persecución de los actores de amenazas como la participación de las víctimas».

Google ha anunciado un nuevo programa en su navegador Chrome para garantizar que los certificados HTTPS estén seguros frente al riesgo futuro que suponen los ordenadores cuánticos.

«Para garantizar la escalabilidad y eficiencia del ecosistema, Chrome no tiene un plan inmediato para agregar versiones tradicionales Certificados X.509 que contiene criptografía post-cuántica al Tienda raíz de Chrome«, el equipo de redes y web segura de Chrome dicho.

«En cambio, Chrome, en colaboración con otros socios, está desarrollando un evolución de certificados HTTPS basados ​​en Certificados de árbol Merkle (MTC), actualmente en desarrollo en el grupo de trabajo PLANTS.»

Como explica Cloudflare, MTC es un propuesta para la próxima generación de infraestructura de clave pública (PKI) utilizada para proteger Internet, cuyo objetivo es reducir la cantidad de claves públicas y firmas en el protocolo de enlace TLS al mínimo requerido.

Bajo este modelo, una Autoridad de Certificación (CA) firma un único ‘Tree Head’ que representa potencialmente millones de certificados, y el ‘certificado’ enviado al navegador es una prueba ligera de inclusión en ese árbol, dijo Google.

En otras palabras, los MTC facilitan la adopción de algoritmos poscuánticos sin tener que incurrir en ancho de banda adicional asociado con las cadenas de certificados X.509 clásicas. El enfoque, añadió la empresa, desacopla la seguridad del algoritmo criptográfico correspondiente del tamaño de los datos transmitidos al usuario.

«Al reducir al mínimo absoluto los datos de autenticación en un protocolo de enlace TLS, los MTC pretenden mantener la web poscuántica tan rápida y fluida como la Internet actual, manteniendo un alto rendimiento incluso cuando adoptamos una seguridad más sólida», dijo Google.

El gigante tecnológico dijo que ya está experimentando con MTC con tráfico de Internet real y que planea expandir gradualmente el lanzamiento en tres fases distintas para el tercer trimestre de 2027.

• Fase 1 (En curso): Google está llevando a cabo un estudio de viabilidad en colaboración con Cloudflare para evaluar el rendimiento y la seguridad de las conexiones TLS que dependen de MTC.
• Fase 2 (Primer trimestre de 2027): Google planea invitar a Certificate Transparency (CT) Registro operadores con al menos un «usable«Inicie sesión en Chrome antes del 1 de febrero de 2026 para participar en el arranque inicial de los MTC públicos.
• Fase 3 (Tercer trimestre de 2027): Google finalizará los requisitos para incorporar CA adicionales en el nuevo almacén raíz resistente a Chrome Quantum (CQRS) y el programa raíz correspondiente que solo admite MTC.

«Consideramos la adopción de MTC y un almacén raíz resistente a los cuánticos como una oportunidad crítica para garantizar la solidez de las bases del ecosistema actual», dijo Google. Al diseñar para las demandas específicas de una Internet moderna y ágil, podemos acelerar la adopción de la resiliencia poscuántica para todos los usuarios de la web.

Investigadores de ciberseguridad han revelado detalles de una falla de seguridad ahora parcheada en Google Chrome que podría haber permitido a los atacantes escalar privilegios y obtener acceso a archivos locales en el sistema.

La vulnerabilidad, rastreada como CVE-2026-0628 (puntuación CVSS: 8,8), se ha descrito como un caso de aplicación insuficiente de políticas en la etiqueta WebView. Fue parcheado por Google a principios de enero de 2026 en la versión 143.0.7499.192/.193 para Windows/Mac y 143.0.7499.192 para Linux.

«La aplicación insuficiente de políticas en la etiqueta WebView en Google Chrome antes de 143.0.7499.192 permitió que un atacante convenciera a un usuario de instalar una extensión maliciosa para inyectar scripts o HTML en una página privilegiada a través de una extensión de Chrome diseñada», según una descripción en la Base de datos nacional de vulnerabilidad (NVD) del NIST.

Gal Weizman, investigador de la Unidad 42 de Palo Alto Networks, quien descubrió e informó la falla el 23 de noviembre de 2025, dicho el problema podría haber permitido que extensiones maliciosas con permisos básicos tomaran el control del nuevo Panel Géminis en vivo en Chrome. El panel se puede iniciar haciendo clic en el icono de Gemini ubicado en la parte superior de la ventana del navegador. Google integración agregada de Géminis a Chrome en septiembre de 2025.

Un atacante podría haber abusado de este ataque para lograr una escalada de privilegios, permitiéndole acceder a la cámara y al micrófono de la víctima sin su permiso, tomar capturas de pantalla de cualquier sitio web y acceder a archivos locales.

Los hallazgos resaltan un vector de ataque emergente que surge al integrar inteligencia artificial (IA) y capacidades de agente directamente en los navegadores web para facilitar el resumen de contenido en tiempo real, la traducción y la ejecución automatizada de tareas, ya que se podría abusar de las mismas capacidades para realizar acciones privilegiadas.

El problema, en esencia, es la necesidad de otorgar a estos agentes de IA acceso privilegiado al entorno de navegación para realizar operaciones de varios pasos, convirtiéndose así en un arma de doble filo cuando un atacante inserta indicaciones ocultas en una página web maliciosa y se engaña a un usuario víctima para que acceda a ella mediante ingeniería social o algún otro medio.

El mensaje podría indicar al asistente de IA que realice acciones que de otro modo serían bloqueadas por el navegador, lo que provocaría la filtración de datos o la ejecución de código. Peor aún, la página web podría manipular al agente para almacenar las instrucciones en la memorialo que hace que persista entre sesiones.

Además de la superficie de ataque ampliada, Unit 42 dijo que la integración de un panel lateral de IA en navegadores agentes trae de vuelta los riesgos de seguridad clásicos de los navegadores.

«Al colocar este nuevo componente dentro del contexto de alto privilegio del navegador, los desarrolladores podrían crear inadvertidamente nuevos fallos lógicos y debilidades de implementación», dijo Weizman. «Esto podría incluir vulnerabilidades relacionadas con secuencias de comandos entre sitios (XSS), escalada de privilegios y ataques de canal lateral que pueden ser explotados por sitios web o extensiones de navegador con menos privilegios».

Si bien las extensiones del navegador funcionan según un conjunto definido de permisos, la explotación exitosa de CVE-2026-0628 socava el modelo de seguridad del navegador y permite a un atacante ejecutar código arbitrario en «gemini.google».[.]com/app» a través del panel del navegador y obtenga acceso a datos confidenciales.

«Una extensión con acceso a un permiso básico establecido a través del API declarativaNetRequest «Permisos permitidos que podrían haber permitido a un atacante inyectar código JavaScript en el nuevo panel de Gemini», agregó Weizman. «Cuando la aplicación Gemini se carga dentro de este nuevo componente del panel, Chrome la conecta con acceso a potentes capacidades».

Vale la pena señalar que la API declarativeNetRequest permite que las extensiones intercepten y cambien las propiedades de las solicitudes y respuestas web HTTPS. Lo utilizan las extensiones de bloqueo de anuncios para dejar de emitir solicitudes para cargar anuncios en páginas web.

En otras palabras, todo lo que necesita un atacante es engañar a un usuario desprevenido para que instale una extensión especialmente diseñada, que luego podría inyectar código JavaScript arbitrario en el panel lateral de Gemini para interactuar con el sistema de archivos, tomar capturas de pantalla, acceder a la cámara, encender el micrófono: todas las funciones necesarias para que el asistente de IA realice sus tareas.

«Esta diferencia en el tipo de componente que carga la aplicación Gemini es la línea entre el comportamiento por diseño y una falla de seguridad», dijo la Unidad 42. Se espera una extensión que influya en un sitio web. Sin embargo, una extensión que influye en un componente integrado en el navegador supone un grave riesgo de seguridad».